Authentification EAP-TLS

Slides:



Advertisements
Présentations similaires
GESTION DE PARCS D’ORDINATEURS
Advertisements

Février 2006X. Belanger / Guilde Introduction à. Février 2006X. Belanger / Guilde Qu'est ce que Samba ? ● Implémentation libre du protocole CIFS/SMB (client.
Effacer la Configuration LWAPP sur un LAP
TP Sécurité - Sécuriser l’accès d’administration en utilisant
Catalyst 500E - Réinitialisation avec les Paramètres usine
Chapitre10 Prise en charge des utilisateurs distants
Client léger VPN SSL avec ASDM
Hot Standby Router Protocol (HSRP) - Partage de charge
Remote Desktop Protocol l'Appliance de Sécurité
Sécurité - ASA8.x - Import du Plug-in VNC pour utilisation dans WebVPN
Sécurité - VPN - Configurer le client VPN SSL
TP Sécurité - Configuration de Base d'un Routeur avec SDM
Catalyst 500E - Mise à niveau de l'image logicielle
QoS - Propagation de la Politique de QoS via BGP
Sécurité - ASA8.x - Import du Plug-in RDP pour utilisation dans WebVPN
Guide de Configuration 802.1X câblé version 1.05
Configurer NAT et PAT statique pour support d'un serveur Web interne
Sécurité - Cisco ASA Outil de capture WebVPN
Registre de Configuration (Configuration Register)
Commande ip nat service
Sécurité - VPN - Configurer la mise à jour du client
Wifi sécurisé et Windows
Sécurité - ASA7.x/PIX 6.x et plus
Tunnel pour paquets IP Multicast
Configuration Routeur SOHO77
Cisco Secure Desktop (CSD)
Cisco Unified Communication Manager Express Utilisation avec Outlook
BGP - Configuration iBGP et eBGP avec ou sans adresse de Loopback
Configuration de base de AAA sur un Server d'accès
PIX/ASA - Configuration Serveur et Client DHCP
Configuration Routeur à Routeur avec PAT & Client VPN Cisco
Sécurité - ASA - Configuration d'un serveur AAA LDAP
(Switch Database Management)
Transfert de fichiers utilisant HTTP ou HTTPS
Instructions pour configurer des comptes utilisateurs limités sur un poste de travail local Veuillez lire attentivement ces instructions et compléter.
- Enrôlement pour des Certificats numériques
Configuration Routeur SOHO77
Sous-résaux LAN dupliqués
Hot Standby Router Protocol standby preempt et standby track
Préparation de mise à jour
TP Sécurité - IOS Firewall - Configuration de base d'un site avec SDM
TP Sécurité Packet Tracer - Configuration d'un VPN d'accès distant et
Sécurité - Configuration de
Sécurité - Configuration de
Configuration NAT Utilisation de la commande outside source list
Sécurité - Configuration de
- Comment changer le Logo WebVPN
Sécurité - Configuration de -
Configuration Routeur SOHO77
Pile IGMPv3 de Host.
Changer les critères de nommage
Module S41 Chapitre 9  Configuration de Microsoft Windows 7 pour fonctionner sur des réseaux Microsoft.
RIP - Configuration des Extensions.
Comment fonctionne RADIUS?
Commande show dialer ccnp_cch ccnp_cch.
Gestion des sécurités sur les comptes User Access Control
entre trois routeurs utilisant des
- Configuration de Microsoft NetMeeting avec les passerelles IOS Cisco
IOS Firewall - Blocage d'applets Java
Configuration de groupes l'autorisation via ASDM
(Switch Database Management)
Exemples de paramétrages Interfaces IP
Windows Server 2012 Objectifs
Sécurité - Configuration de Auth-Proxy Inbound - Client VPN IPSec
Configuration NAT Statique
Mise en place d'un Serveur Radius pour la sécurité d'un réseau Wireless sous Windows Serveur Présenter par le Stagiaire : Etienne Mamadou Guilavogui.
Vue d'ensemble Préparation de l'installation
Gestion des sécurités sur les comptes User Access Control
Remote Authentication Dial In User Service RADIUS GAUTHIER Julien.
Configuration post installation
Transcription de la présentation:

Authentification EAP-TLS Configuration ACS 3.2 pour Windows avec Authentification EAP-TLS ccnp_cch ccnp_cch

Sommaire • Introduction - Prérequis - Composants utilisés - Rappels de théorie - Schéma du réseau • Configurer Cisco Secure ACS 3.2 pour Windows - Obtenir un certificat pour le serveur ACS - Configurer l'ACS pour qu'il utilise un certificat stocké - Spécifier des autorités de certificat supplémentaires auxquelles l'ACS doit faire confiance - Redémarrer le service et configurer les paramètres EAP-TLS - Spécifier et configurer le point d'accès comme un client AAA - Configurer les bases de données externes d'utilisateurs - Redémarrer le service • Configurer l'auto-enrôlement MS certificat machine • Configurer le point d'accès Cisco • Configurer le client sans-fil - Joindre le domaine - Obtenir un certificat pour l'utilisateur - Configurer le réseau sans-fil • Vérification • Résolution de problèmes ccnp_cch

Introduction ccnp_cch Ce document montre comment configurer Extensible Authentication Protocol - Trans- port Layer Security (EPA-TLS) avec Cisco Secure ACS 3.2 pour Windows. Prérequis Il n'y a pas de prérequis spécifiques. Composants utilisés Les informations présentées dans ce document sont basées sur les configurations lo- gicielles et matérielles suivantes:  Cisco Secure ACS version 3.2 pour Windows  Service de Certificat Microsoft (installé comme Autorité de Certificat racine d'Entre- prise [CA])  Service DNS avec Windows 2003 Server  Cisco Aironet 1200 Series Wireless Access Point 12.01T  IBM ThinkPad T30 opérant avec Windows XP Professional Rappel de théorie EAP -TLE et PEAP (Protected Extensible Authentication Protocol) construisent et utili- sent un tunnel TLS/ Secure Socket Layer (SSL). EAP-TLS utilise une authentification mutuelle dans laquelle le serveur ACS (Autentication, Authorization, Accounting (AAA)) et les clients ont des certificats et prouvent leurs identités l'un avec l'autre. PEAP utilise uniquement l'authentification côté serveur; seul le serveur a un certificat et fait la preu- ve de son identité au client. Schéma du réseau tac-lab-comp1 Windows XP Pro 10.66.79.214 (DHCP) Kant Serveur Windows 2003 10.66.79.241 Cisco Secure ACS v3.2 Service de Certificat MS Service DNS AP 1200 10.66.79.203 ccnp_cch

Configurer Cisco Secure ACS 3.2 pour Windows Suivez les étapes ci-dessous pour configurer ACS 3.2. 1. Obtenir un certificat pour le serveur ACS. 2. Configurer le serveur ACS pour utiliser un certificat stocké 3. Spécifier des autorités de certificat supplémentaires auxquelles le serveur ACS doit faire confiance. 4. Redémarrer le service et configurer les paramètres EAP-TLS sur l'ACS. 5. Spécifier et configurer le point d'accès comme client AAA 6. Configurer les bases de données externes d'utilisateurs 7. Redémarrer le service. Obtenir un certificat pour le serveur ACS Suivez ces étapes pour obtenir un certificat. 1. Sur le serveur ACS, ouvrir une fenêtre de navigateur web et naviguez vers le serveur CA en entrant http://CA_IP _Address/certsrv dans la barre d'adresse. Connectez- vous comme Administrateur. 2. Sélectionnez Request a Certificate et ensuite cliquez sur Next. ccnp_cch

ccnp_cch 3. Sélectionnez Advanced Request puis cliquez sur Next. 4. Sélectionnez Submit a certificate request to this CA using a form puis cliquez sur Next. ccnp_cch

ccnp_cch 5. Configurez les options de certificat. a. Sélectionnez Web Server comme modèle de certificat. Entrez le nom du serveur ACS. ccnp_cch

b. Fixez la taille de la clé à 1024 b. Fixez la taille de la clé à 1024. Sélectionnez les options Mark keys as exportable et Use local machine store. Configurez les autres options selon les besoins et ensuite cliquez sur Submit. Note: Si vous voyez une fenêtre d'avertissement faisant référence à une violation de script (selon les paramètres de sécurité de votre navigateur), cliquez sur Yes pour continuer. ccnp_cch

ccnp_cch 6. Cliquez sur Install this certificate. Note: Si vous voyez une fenêtre d'avertissement faisant référence à une violation de script (selon les paramètres de sécurité de votre navigateur), cliquez sur Yes pour continuer. 7. Si l'installation a réussi, vous obtenez un message de confirmation. ccnp_cch

ccnp_cch Configurer l'ACS pour qu'il utilise un certificat stocké Suivez ces étapes pour configurer l'ACS pour qu'il utilise un certificat stocké. 1. Ouvrez un navigateur web et naviguez vers le serveur ACS en entrant http://ACS- ip-address:2002/ dans la barre d'adresse. Cliquez sur System Configuration et ensuite cliquez sur ACS Certificate Setup. 2. Cliquez sur Install ACS Certificate. 3. Sélectionnez Use certificate from storage. Dans le champ CN, entrez le nom du certificat que vous avez affecté à l'étape 5.a de la section "Obtenir un certificat pour le serveur ACS". Cliquez sur Submit. 4. Quand la configuration est terminée, vous avez un message de confirmation indi- quant que la configuration du serveur ACS a été modifiée. Note: Vous n'avez pas besoin de redémarrer l'ACS à ce moment là. ccnp_cch

l'ACS doit faire confiance Spécifier des autorités de certificat supplémentaires auxquelles l'ACS doit faire confiance L'ACS fera automatiquement confiance à la CA qui a crée son propre certificat. Si les certificats des clients sont crées par des CA additionnelles alors vous devez exécuter les étapes suivantes: 1. Cliquez sur System Configuration et ensuite cliquez sur ACS Certificate Setup. 2. Cliquez sur ACS Certificate Authority Setup et ajoutez les CAs à la liste des certi- ficats de confiance. Dans le champ CA certificate file entrez l'emplacement du certi- ficat puis cliquez sur Submit. ccnp_cch

3. Cliquez sur Edit Certificate Trust List 3. Cliquez sur Edit Certificate Trust List. Cochez toutes les CAs auxquelles l'ACS doit faire confiance et décochez les CAs auxquelles l'ACS ne doit pas faire confian- ce. Cliquez sur Submit. ccnp_cch

Redémarrer le service et configurer les paramètres EAP-TLS sur l'ACS Suivez les étapes ci-dessous pour redémarrer le service et configurer les paramètres EAP-TLS. 1. Cliquez sur System Configuration et ensuite cliquez sur Service Control. 2. Cliquez sur Restart pour redémarrer le service. 3. Pour configurer les paramètres EAP-TLS, cliquez sur System Configuration puis sur Global Authentication Setup. 4. Cochez la case Allow EAP-TLS et ensuite cochez une ou plusieurs comparaisons de certificat. Cliquez sur Submit. ccnp_cch

ccnp_cch Spécifier et configurer un point d'accès comme client AAA 1. Cliquez sur Network Configuration. Sous AAA Clients, cliquez sur Add Entry. 2. Entrez le nom de host du point d'accès dans champ AAA Client Hostname et son adresse IP dans le champ AAA Client IP Address. Entrez une clé secrète partagée pour l'ACS et le point d'accès dans le champ key. Sélectionnez RADIUS (Aironet) comme méthode d'authentification. Quand c'est terminé, cliquez sur Submit. ccnp_cch

ccnp_cch Configurer les bases de données externes d'utilisateurs Suivez ces étapes pour configurer les bases de données externes d'utilisateurs. 1. Cliquez sur External User Databases et ensuite cliquez sur Database Configura- tion. Cliquez sur Windows Database. Note: S'il n'y a pas de base de données Windows déjà définie, cliquez sur Create New Configuration et ensuite cliquez sur Submit. 2. Cliquer sur Configure. Sous Configure Domain List, déplacez le domaine SEC-SYD de Available Domains vers Domain List. ccnp_cch

3. Pour valider l'authentification machine, sous Windows EAP Settings cochez l'option Permit EAP-TLS machine authentication. Ne changez pas le champ machine au- thentication prefix. Microsoft utilise "/host" (valeur par défaut) pour la distinction entre l'authentification machine et utilisateur. Si vous le désirez, vous pouvez vali- der le retrait de domaine en cochant l'option EAP-TLS Strip Domain Name. Quand vous avez terminé, cliquez sur Submit. ccnp_cch

Configurer l'auto-enrôlement MS certificat machine 4. Cliquez sur External User Databases puis cliquez sur Unknown User Policy. Sé- lectionnez l'option Check the following external user database, ensuite utilisez la flèche droite (->) pour déplacer Windows Database de External Databases vers Selected Databases. Quand vous avez terminé, cliquez sur Submit. Redémarrer le service Quand vous avez terminé de configurer l'ACS, suivez ces étapes pour redémarrer le service. 1. Cliquez sur System Configuration et ensuite sur Service Control. 2. Cliquez sur Restart. Configurer l'auto-enrôlement MS certificat machine Suivez les étapes ci-dessous pour configurer le domaine pour l'enrôlement automatique de certificat machine. 1. Allez à Control Panel> Administrative Tools> Open Active Directory Users and Computers. 2. Faire un clic droit sur domain sec-syd et sélectionnez Properties dans le sous-me- nu. 3. Sélectionnez l'onglet Group Policy. Cliquez sur Default Domain Policy et ensuite cliquez sur Edit. 4. Allez à Computer Configuration> Windows Settings> Security Settings> Public Key Policies> Automatic Certificate Request Settings. ccnp_cch

5. Sur la barre du menu allez à Action> New> Automatic Certificat Request et cli- quez sur Next. 6. Sélectionnez Computer et cliquez sur Next. Cochez Certificate Authority, "Our TAC CA" dans cet exemple. Cliquez sur Next puis sur Finish. Configurer le point d'accès Cisco Suivez ces étapes pour configurer l'AP pour qu'il utilise l'ACS comme serveur d'authen- tification. 1. Ouvrez un navigateur web et connectez vous à l'AP en entrant l'URL suivante dans la barre d'adresse http://AP-ip-address/certsrv. Sur la barre d'outils cliquez sur Setup. 2. Sous Services, cliquez sur Security. 3. Cliquez sur Authentication Server. Note: Si vous avez configuré des comptes sur l'AP, vous devrez vous logguer. ccnp_cch

4. Entrez les paramètres de configuration de l'authentificateur 4. Entrez les paramètres de configuration de l'authentificateur. ▪ Sélectionnez 892.1x-2001 pour 802.1X Protocol Version (pour l'authentification EAP). ▪ Entrez l'adresse IP du serveur ACS dans le champ Server Name/IP. ▪ Sélectionnez RADIUS pour Server Type. ▪ Entrez 1645 ou 1812 dans le champ Port. ▪ Entrez le secret partagé que vous avez spécifié à l'étape 2 de la section Spécifier et configurer un point d'accès comme client AAA. ▪ Cochez l'option pour EAP Authentication pour spécifier comment le serveur doit être utilisé. Quand vous avez terminé, cliquez sur OK. 5. Cliquez sur Radio Data Encryption (WEP). 6. Entrez les paramètres internes de cryptage de données. ▪ Sélectionnez Full Encryption pour fixer le niveau de cryptage des données. ▪ Cochez l'option Open pour fixer le type d'authentification acceptée; pour valider LEAP, sélectionnez l'option pour Network-EAP. ▪ Pour le paramètre Required EAP, cochez l'option Open. ▪ Entrez une clé de cryptage et fixez la taille de la clé à 128. Quand vous avez terminé, cliquez sur OK. ccnp_cch

7. Confirmez que vous utilisez le Service Set Identifier (SSID) correct en allant à Network> Service Sets> Select the SSID Idx puis cliquez sur OK quand vous avez terminé. ccnp_cch

Configurer le client sans-fil Suivez les étapes ci-dessous pour configurer le client sans-fil 1. Joindre le domaine 2. Obtenir un certificat pour l'utilisateur 3. Configurer le réseau sans-fil Joindre le domaine Suivez ces étapes pour ajouter le client sa ns-fil au domaine. Note: Pour exécutez ces étapes, le client sans-fil doit avoir une connectivité avec la CA soit par une connexion câblée soit par une connexion sans fil avec la sécurité 802.1x dévalidée. 1. Entrez dans Windows XP comme administrateur local 2. Allez à Control Panel> Performance and Maintenance> System. 3. Sélectionnez l'onglet Computer Name et ensuite cliquez sur Change. Entrez le nom de host dans le champ nom d'ordinateur. Sélectionnez Domain et entrez le nom de domaine (SEC-SYD) dans cet exemple. Cliquez sur OK. ccnp_cch

4. Quand une boite de dialogue de login est affichée, joignez le domaine en vous con- nectant avec un compte qui a le droit de joindre le domaine. 5. Quand la machine a rejoint le domaine avec succès, redémarrez l'ordinateur. La machine sera membre du domaine; comme nous avons configuré l'auto-enrôlement , la machine aura un certificat pour la CA installée tout comme un certificat pour l'authentification de la machine. Obtenir un certificat pour l'utilisateur Suivez ces étapes pour obtenir un certificat pour l'utilisateur. 1. Entrez dans Windows XP et dans le domaine (SEC-SYD) sur le client sans-fil (PC portable) avec le compte qui requiert un certificat. Ouvrez un navigateur web et naviguer vers le serveur CA en entrant http://CA-ip-address/certsrv dans la bar- re d'adresse. Connectez vous à la CA sous le même nom de compte. Note: Le certificat est stocké sur le client sans-fil sous le profil courant de l'utilisa- teur, aussi il est nécessaire de se connecter à Windows et à la CA en utilisant le même nom de compte. ccnp_cch

2. Sélectionnez Request a certificate et ensuite cliquez sur Next. 3. Sélectionnez Advanced Request et ensuite cliquez sur Next. ccnp_cch

4. Sélectionnez Submit a certificate to this CA using a form et ensuite cliquez sur Next. 5. Sélectionnez User comme modèle de certificat et fixez la taille de la clé à 1024. Configurez les autres options au besoin et ensuite cliquez sur Submit. ccnp_cch

Note: Si vous voyez une fenêtre d'avertissement faisant référence à une violation de script (selon les paramètres de sécurité de votre navigateur), cliquez sur Yes pour continuer. 6. Cliquez sur Install this certificate. ccnp_cch

Note: Si vous voyez une fenêtre d'avertissement faisant référence à une violation de script (selon les paramètres de sécurité de votre navigateur), cliquez sur Yes pour continuer. 7. Si le certificat de la CA n'est pas déjà sauvegardé sur le client sans-fil, vous pour- rez voir une fenêtre similaire à celle-ci-dessous. Cliquez sur Yes pour sauvegarder le certificat sur un stockage local. 8. Si l'installation a réussi, vous avez un message de confirmation. ccnp_cch

ccnp_cch Configurer le réseau sans-fil Suivez ces étapes pour configurer le réseau sans-fil. 1. Connectez-vous au domaine comme un utilisateur du domaine. 2. Allez à Control Panel> Network and Internet Connections> Network Connec- tions. Faire un clic droit sur Wireless Connections puis sélectionnez Properties à partir du sous-menu affiché. 3. Sélectionnez l'onglet Wireless Networks. Sélectionnez le réseau sans-fil (affiché en utilisant le nom de SSID de l'AP) dans la liste des réseaux disponibles puis cliquez sur Configure. 4. Dans l'onglet Authentication de la fenêtre propriétés réseau, cochez l'option Enable IEEE 802.1x authentication for this network. Pour EAP type sélection- nez Smart Card or other Certificate puis cliquez sur Properties. Note: Pour valider l'authentification machine, cochez l'option Authenticate as computer when computer information is available. ccnp_cch

6. Sur l'onglet Association de la fenêtre propriétés réseau, cochez les options Data Encryption (WEP enabled) et The key is provided for me automatically. Cli- quez sur OK puis de nouveau sur OK pour clore la fenêtre de configuration réseau. ccnp_cch

Vérification ccnp_cch Cette section fournit des informations que vous pouvez utiliser pour confirmer que votre configuration fonctionne correctement.  Pour vérifier que le client sans-fil a été authentifié, sur le client sans-fil allez à Control Panel> Network and Internet Connections> Network Connections. Dans la barre du menu, allez à View > Tiles. La connexion sans-fil doit afficher le messa- ge "Authentication succeeded".  Pour vérifier que les clients sans-fil ont été authentifiés, sur l'interface web de l'ACS allez à Reports and Activity> Passed Authentication> Passed Authentication active.csv. ccnp_cch

Résolution de problèmes Cette section fournit des informations que vous pouvez utiliser pour résoudre des pro- blèmes de configuration.  Vérifiez que les MS Certificate Services ont été installés comme Enterprise root CA sur un serveur Windows 2003 Advanced server.  Vérifiez que vous utilisez Cisco Secure ACS 3.2 pour Windows 2003.  Si l'authentification machine échoue sur le client sans-fil, il n'y aura pas de connec- tivité réseau sur la connexion sans-fil. Seul les comptes qui ont leurs profils en ca- che sur le client sans-fil seront capables de se connecter au domaine. La machine devra être connectée à un réseau câblé ou configurée pour une connexion sans-fil sans sécurité 802.1x.  Si l'enrôlement automatique avec la CA échoue quand on se connecte au domaine, vérifiez les évènements pour les raisons possibles.  Si le profil utilisateur du client sans-fil n'a pas de certificat valide, vous pouvez tou- jours vous connecter sur la machine et au domaine si le mot de passe est correct mais notez que la connexion sans-fil n'aura pas de connectivité.  Si le certificat de l'ACS sur le client sans-fil est invalide ( cela dépend des dates de validité "from" et "to" du certificat, des paramètres date et heure du client et si la CA est de confiance) alors le client le rejettera et l'authentification échouera. L'ACS journalisera l'échec d'authentification dans l'interface web sous Reports and Activity> Failed Attempts> Failed Attempts XXX.csv avec Authentification Failure-Code similaire à "EAP-TLS or PEAP authentication failed during SSL handshake". Le message d'erreur attendu dans le fichier CSAuth.log est similaire au suivant. AUTH 06/04/2003 14:56:41 E 0345 1644 EAP: buildEAPRequestMsg: other side probably didn't accept our certificate  Si le certificat du client sur l'ACS est invalide, ( cela dépend des dates de validité "from" et "to" du certificat, des paramètres date et heure du serveur et si la CA est de confiance) alors le serveur le rejettera et l'authentification échouera. L'ACS journa- lisera l'échec d'authentification dans l'interface web sous Reports and Activity> Failed Attempts> Failed Attempts XXX.csv avec Authentification Failure-Code similaire à "EAP-TLS or PEAP authentication failed during SSL handshake". Si l'ACS rejette le certificat du client parce que l'ACS n'a pas confiance en la CA, le message d'erreur attendu dans le fichier CSAuth.log est similaire au suivant. AUTH 06/04/2003 15:47:43 E 0345 1696 EAP: ProcessResponse: SSL handshake failed, status = 3 (SSL alert fatal:unknown CA certificate) Si l'ACS rejette le certificat du client parce que le certificat a expiré, le message d'er- reur attendu dans le fichier CSAuth.log est similaire au suivant. AUTH 06/04/2005 15:02:08 E 0345 1692 EAP: ProcessResponse: SSL handshake failed, status = 3 (SSL alert fatal:certificate expired)  Dans les logs de l'ACS sous Reports and Activity> Passed Authentications> Passed Authentications XXX.csv et Reports and Activity> Failed Attempts> Failed Attempts XXX.csv, les authentification EAP-TLS sont affichées dans le for- mat <user−id>@<domain>. Les authentifications PEAP sont affichées dans le format <DOMAIN>\<user−id>. ccnp_cch

 Vous pouvez vérifier le certificat du serveur de l'ACS et la confiance en suivant les étapes ci-dessous: 1. Connectez vous à Windows sur le serveur ACS avec un compte qui administre les privilèges. Ouvrir Microsoft Management Console en allant à Start> Run et en tapant mmc et en cliquant sur OK. 2. Sur la barre de menu, aller à Console> Add/Remove Snap-in puis cliquez sur Add. 3. Sélectionnez Certificates puis cliquez sur Add. 4. Sélectionnez Computer account, cliquez sur Next et ensuite sélectionnez Local Computer (Ordinateur sur lequel la console s'exécute). 5. Cliquez sur Finish, cliquez sur Close puis sur OK. 6. Pour vérifier que le serveur ACS a un certificat valide côté serveur, allez à Console Root> Certificates (Local computer)> Personal> Certificates. Véri- fiez qu'il y a un certificat pour le serveur ACS (appelé OurACS dans cet exemple). Ouvrez le certificat et vérifiez les items suivants: ▪ Il n'y a pas d'alerte au sujet du certificat qui n'est pas vérifié pour toutes les utilisations attendues. ▪ Il n'y a pas d'alerte au sujet de la confiance du certificat. ▪ "This certificate is intended to - Ensures the identity of a remote computer". ▪ Le certificat n'a pas expiré et reste valide ( vérifiez la validité des date "from" et "to"). ▪ "You have a private key that corresponds to this certificate". 7. Dans l'onglet Details, vérifiez que le champ Version a la valeur V3 et que le champ Enhanced Key Usage a Server Authentication (1.3.6.1.5.5.7.3.1). 8. Pour vérifier que le serveur ACS fait confiance au serveur CA, allez à Console Root> Certificates (Local computer)> Trusted Root Certification Authori- ties> Certificates. Vérifiez qu'il y a un certificat pour le serveur CA (appelé OurTAC CA dans cet exemple). Ouvrez le certificat et vérifiez les items suivants: ▪ Il n'y a pas d'alerte au sujet du certificat qui n'est pas vérifié pour toutes les utilisations attendues. ▪ Il n'y a pas d'alerte au sujet de la confiance du certificat. ▪ Le type d'utilisation du certificat est correct. ▪ Le certificat n'a pas expiré et reste valide ( vérifiez la validité des date "from" et "to"). Si l'ACS et le client n'utilise pas la même CA racine alors vérifiez que toute la chaîne des serveurs de certificats a été installée. La même chose s'applique si le certificat a été obtenu d'une sous-autorité de certificat.  Vous pouvez vérifier le certificat de la machine client sans-fil et la confiance en sui- vant les étapes ci-dessous: 1. Connectez vous à Windows sur le serveur ACS avec un compte qui administre ccnp_cch

5. Cliquez sur Finish, cliquez sur Close puis sur OK. 6 5. Cliquez sur Finish, cliquez sur Close puis sur OK. 6. Vérifiez que la machine a un certificat valide côté client. Si le certificat est inva- lide, l'authentification machine échoue. Pour vérifier le certificat, allez à Console Root> Certificates (Local computer)> Personal> Certificates. Vérifiez qu'il y a un certificat pour la machine; le nom est au format <host-name>.<domain>. Ouvrez le certificat et vérifiez les items suivants: ▪ Il n'y a pas d'alerte au sujet du certificat qui n'est pas vérifié pour toutes les utilisations attendues. ▪ Il n'y a pas d'alerte au sujet de la confiance du certificat. ▪ "This certificate is intended to - Ensures the identity of a remote computer". ▪ Le certificat n'a pas expiré et reste valide ( vérifiez la validité des date "from" et "to"). ▪ "You have a private key that corresponds to this certificate".  Dans l'onglet Details, vérifiez que le champ Version a la valeur V3 et que le champ Enhanced Key Usage contient au moins la valeur Client Authentication (1.3.6.1.5.5. 7.3.1); des fonctions additionnelles peuvent être listées. Assurez-vous que le champ Subject contient la valeur CN=<host-name>.<domain>; des valeurs additionnelles peuvent être listées. Vérifiez que host-name et domain correspondent avec ce qui est spécifié dans le certificat.  Pour vérifier que le profil du client fait confiance au serveur CA, allez à Console Root> Certificates (Current User)> Trusted Root Certification Authorities> Certificates. Vérifiez qu'il y a un certificat pour le serveur CA (appelé OurTAC CA dans cet exemple). Ouvrez le certificat et vérifiez les items suivants: ▪ Il n'y a pas d'alerte au sujet du certificat qui n'est pas vérifié pour toutes les utilisations attendues. ▪ Il n'y a pas d'alerte au sujet de la confiance du certificat. ▪ Le type d'utilisation du certificat est correct. ▪ Le certificat n'a pas expiré et reste valide ( vérifiez la validité des date "from" et "to"). Si l'ACS et le client n'utilise pas la même CA racine alors vérifiez que toute la chaî- ne des serveurs de certificats a été installée. La même chose s'applique si le certifi- cat a été obtenu d'une sous-autorité de certificat.  Vérifiez les paramètres de l'ACS comme cela est décrit dans la section "Configurer Cisco Secure ACS 3.2 pour Windows.  Vérifiez les paramètres de la CA comme cela est décrit dans la section "Configurer les Services de certificat Microsoft..  Vérifiez les paramètres de l'AP comme cela est décrit dans la section "Configurer le point d'accès Cisco.  Vérifiez les paramètres du client sans-fil comme cela est décrit dans la section Configurer le client sans-fil.  Vérifiez que compte utilisateur existe dans la base de données interne du serveur AAA ou sur des bases de données externes configurées. Assurez-vous que le compte n'a pas été dévalidé. ccnp_cch